Comments (14)
Прошу прощения, просто хочу поделиться своим опытом. Я делал подобное, но не на сенсоре, а на коллекторе. Для этого я использовал pmacct(http://www.pmacct.net/), который может вести себя как коллектор и при этом - принимать full-view по BGP(откуда он и подставляет AS field в данные Netflow). Ну а далее в нём можно строить разные таблицы и хранить данные достаточно гибко. Мне было достаточно in-memory table в разрезе по AS(тупо статистика с каких AS больше трафика приходит)
Я понимаю, что в идеале подобный функционал должен быть и на сенсоре(как на проприетарных решениях, например в Cisco). Но тут у нас вроде как opensource, и если автор в этом лично не заинтересован, единственным способом впилить данный функционал - прислать рабочий патч :-)
from ipt-netflow.
not
from ipt-netflow.
and if load mapped ip-asn external table via file or etc?
it would be fine for the analysis of flows
from ipt-netflow.
no such functionality is implemented
from ipt-netflow.
KaloNK/quagga@3861c3c
Подскажи пожалуйста с этим патчем будет мапиться или нужны телодвижения?
from ipt-netflow.
А что делает этот патч мне надо угадать или долго думать?
Была вот такая нормальная тема раньше:
Там номер AS дописывался в роутинг в поле realm (tclassid). Но, этот патч давно не поддерживается его автором (заброшен с 2009, что видно по датам), для него поддержки я всё равно не делал (так как он заброшен).
from ipt-netflow.
Очень похоже что он воскрес, вот патчсет KaloNK/quagga#1
from ipt-netflow.
Занятно, сходство есть. Какова судьба этого патча - его отвергли из quagga или приняли?
from ipt-netflow.
Это девелоп форк официальной ветки, попробую узнать судьбу этого патча. Из описания репо есть надежда что он всетаки попадет в основную ветку в будущем.
from ipt-netflow.
Полагаю, что разработчикам quagga не нравится этот патч, поэтому, хотя он существует уже 10 лет, его до сих пор не включили. Тут обсуждение:
https://lists.quagga.net/pipermail/quagga-dev/2015-June/012802.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-June/012805.html Donald Sharp
https://lists.quagga.net/pipermail/quagga-dev/2015-June/012830.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-June/012860.html Paul Jakma
https://lists.quagga.net/pipermail/quagga-dev/2015-June/012896.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-July/012901.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-July/012902.html Donald Sharp
https://lists.quagga.net/pipermail/quagga-dev/2015-July/012906.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-July/012907.html Donald Sharp
https://lists.quagga.net/pipermail/quagga-dev/2015-July/012909.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-July/012934.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-August/013033.html Paul Jakma
https://lists.quagga.net/pipermail/quagga-dev/2015-August/013049.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-September/013110.html Paul Jakma
https://lists.quagga.net/pipermail/quagga-dev/2015-September/013111.html Kaloyan Kovachev
https://lists.quagga.net/pipermail/quagga-dev/2015-September/013112.html Paul Jakma
https://lists.quagga.net/pipermail/quagga-dev/2015-September/013113.html Kaloyan Kovachev
Дальше обсуждения нет, возможно, Kaloyan Kovachev забросил эту идею.
from ipt-netflow.
Это девелоп форк официальной ветки, попробую узнать судьбу этого патча. Из описания репо есть надежда что он всетаки попадет в основную ветку в будущем.
Это не девел форк, а форк @KaloNK (скорее всего, это Kaloyan Kovachev). А девел форк, это https://github.com/opensourcerouting/quagga. Этот патч к нему относится всего лишь как сторонняя ветка, которая может никогда и не попасть с основную. Прецедент есть - тот же realms патч есть и в основном репо, заброшенный в тегах за 2007 год: opensourcerouting/quagga@8d3e3cc
from ipt-netflow.
В общем, смысл сводится к следующему:
- по-умолчанию, в ядре нет информации о номерах AS; этот патч - единственный прецедент её туда загнать, других решений не было и нет. Смысл, чтоб это было в ядре, именно актуальность информации о том, что этот route, по которому шел этот пакет, соответствует такой-то AS.
- вся остальная информация не будет актуальной, а следовательно её (ASы) можно ассоциировать с потоками на уровне, скажем, netflow коллектора или netflow proxy, вне ядра.
from ipt-netflow.
Привет!
Да, ето была моя попытка воскресить http://linux.mantech.ro/quagga+realm_en.php
Нет, я не забросил идею, только мне пришлось работать над другом и вернусь к етому чуть позже, а на счет тово что разработчикам етот патч не нравится, ето потому что он будет работать только под Linux, а введение новых команд для всех и их прийдется поддерживать. Появилась идея что можно только одной командой решить проблему - задав community range для realms, которы будет переводиться к ядре только в момент записи route, что будет гораздо легче поддерживать. К сожалению для меня ето будет труднее и потребует больше времени, но буду работать над етим пока не приймут, так как уже несколько людей спрашивали об етом, выходит интерес есть.
from ipt-netflow.
Ну что ж, будем ждать продолжения. ;-)
from ipt-netflow.
Related Issues (20)
- specify source port
- natevents sending flows only if "conntrack -E" is running HOT 5
- Compile error on kernel 4.15.0, Ubuntu 18.04.6 LTS HOT 2
- wk_cpu = __smp_processor_id(); HOT 4
- no data flow HOT 1
- Error in 5.15.86 ct_event HOT 17
- periodic will reconnect HOT 5
- Warning on module unload: "BUG: using smp_processor_id() in preemptible" HOT 1
- Missing logs HOT 1
- compiling error on ubuntu 18.04 HOT 2
- disable traffic flow
- Cross-compiling master HOT 2
- Use diferent protocol versions for different destinations
- git does not build on arch - 6.4.1-arch2-1 implicit declaration of function ‘register_sysctl_paths’; did you mean ‘register_sysctl_table’? [-Werror=implicit-function-declaration] HOT 9
- Couldn't load target `NETFLOW' debian 11.7 kernel 5.10.0-22 HOT 1
- Unusual CPU usage spike after certain pps count? HOT 1
- How to correctly set the time of sending netflow
- natevent not working (Debian 12/6.1.0-10-amd64) HOT 1
- ipt_netflow Issue on Ubuntu 18: Nat Events Missing HOT 1
- No longer builds Arch HOT 4
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from ipt-netflow.